For første gang står kommuner til at få bøder for overtræddelse af databeskyttelse

I Gladsaxe Kommune blev en computer med 20.000 borgeres data stjålet, og i Hørsholm var det personoplysninger om cirka 1600 ansatte i kommunen.

01:31

Gladsaxe står til at skulle betale en bøde på 100.000 kroner for at bryde databeskyttelsesforordningen - også kendt som GDPR.

To kommuner står for første gang til at få bøder for at have overtrådt databeskyttelsesforordningen - også kendt som GDPR.

Reglerne har til hensigt at beskytte folks personlige data.

Datatilsynet har indstillet Gladsaxe Kommune til en bøde på 100.000 kroner. Det sker, efter at en computer med 20.620 borgeres personoplysninger i december 2018 blev stjålet fra rådhuset.

Det oplyser tilsynet i en pressemeddelelse.

Læs også Computertyveri: 20.000 borgeres CPR-numre lækket

Desuden er Hørsholm Kommune indstillet til en bøde på 50.000 kroner. Det skyldes, at en computer med personoplysninger om cirka 1600 ansatte ved Hørsholm Kommune blev stjålet.

Ingen af kommunernes computere var beskyttet med kryptering.

- Det er simpelt at tilgå de filer, der er gemt på computeren, når en computers harddisk ikke er krypteret, for eksempel ved at flytte harddisken til en anden computer.

- Når der er personoplysninger gemt lokalt på computeren, er det derfor særdeles uforsigtigt, at kommunerne ikke havde beskyttet computerne med kryptering, siger kontorchef i tilsynsenheden i Datatilsynet Frederik Viksøe Siegumfeldt i pressemeddelelsen.

Kan ikke undgå fejl

Det var i slutningen af 2018, at en computer med et arbejdsdokument med personlige oplysninger om 20.000 borgere blev stjålet fra Gladsaxe Rådhus.

I en pressemeddelelse skriver kommunen, at den siden blandt andet har krypteret alle computere og oprettet en GDPR-afdeling.

- Vi har godt 6000 medarbejdere og mange håndterer personoplysninger hver eneste dag. Derfor kan vi aldrig helt undgå, at der sker fejl. Men vi gør alt, hvad vi kan for at der sker så få fejl som muligt, og når det sker, så forsøger vi at lære af dem, siger kommunaldirektør Bo Rasmussen i meddelelsen.

Læs også 20.000 ramt: Borgere dybt bekymrede efter CPR-tyveri

Det er første gang, at Datatilsynet indstiller bøder for overtrædelse af GDPR til en offentlig myndighed. Tidligere har den indstillet to bøder til private selskaber.

Konkret betyder indstillingen af bøderne, at kommunerne bliver politianmeldt. Det bliver så politiet, der skal undersøge sagen, og anklagemyndigheden der i sidste ende skal tage stilling til, om der skal rejses en tiltale.

Begrænset risiko for misbrug

Helt specifikt blev der i Gladsaxe Kommune stjålet fire computer ved et indbrud på kommunens rådhus i december 2018.

Det betød, at næsten hver tredje Gladsaxeborgers CPR-nummer, navn og adresse kom i hænderne på en kriminel person, da der på en af computerne var et regneark med oplysninger om et meget stort antal borgere.

Ud over CPR og adresse kunne man i regnearket også se, hvilke ydelser, de cirka 20.000 borgere havde modtaget i 2018.

Læs også Ny lov tvinger kommuner til at passe bedre på dine oplysninger

Dengang vurderede Gladsaxe Kommune overfor TV 2 Lorry, at risikoen for et decideret  misbrug var begrænset.

Samtidig oplyste kommunen, at man efter tyveriet havde kontaktet en IT-sikkerhedsekspert. som påpegede, at misbrug af CPR-numre er sjældne, og når det sker, så er det ofte en person i offerets bekendtskabskreds, der står bag misbruget. Og så kræver et misbrug, at man enten har en kode, der passer sammen med CPS-nummeret - eller at man møder personligt op og udgiver sig for at være CPR-nummerets ejer.

/ritzau/

Tilmeld dig vores nyhedsbrev og bliv dagligt opdateret

Læs vores privatlivspolitik